Une ONG britannique, Privacy International, vient de déposer une réclamation devant la CNIL au sujet du site de santé Doctissimo. Elle lui reproche de ne pas respecter le RGPD et de faire du business avec certaines données liées à la santé mentale.

Migraine juridique à venir pour Doctissimo. Le célèbre site web communautaire dédié à la santé et au bien-être fait depuis peu l’objet d’une plainte devant la Commission nationale de l’informatique et des libertés (CNIL). À la manœuvre, l’ONG britannique Privacy International, qui explique avoir décelé des infractions au Règlement général sur la protection des données (RGPD), qui appelle à des corrections immédiates.

La réclamation de Privacy International s’inscrit dans un travail plus large engagé depuis des mois, notamment à travers la production d’un rapport en septembre 2019 sur la santé mentale. Il avait été suivi par un second travail, publié en février 2020, complétant les observations faites précédemment sur le business des sites de santé. Doctissimo est cité dans les deux cas.

Volkan Olmez

Il est reproché à Doctissimo de faire son beurre avec certaines données de santé, notamment mentales. // Source : Volkan Olmez

Le premier rapport a « révélé comment un petit nombre de sites web proposant des tests de dépression partagent vos réponses directement avec des tiers. Doctissimo, un site français d’information sur la santé, était au nombre de ces sites », dénonce l’ONG, dans un communiqué. Et d’ajouter qu’en février 2020, ce partage de données avec des tiers à des fins de marketing était toujours en vigueur.

Des infractions nombreuses au RGPD

La plainte, datée du 26 juin, demande spécifiquement à la CNIL, qui s’avère être l’autorité de contrôle de référence puisque Doctissimo est un site basé en France, d’enquêter sur les observations que l’ONG a produites et prendre le cas échéant les mesures appropriées pour obliger Doctissimo à mettre fin à ses pratiques, qui enfreignent à différents niveaux les dispositions du RGPD.

Doctissimo « n’a pas de base légale pour le traitement des données à caractère personnel, car les conditions d’un consentement valable ne sont pas remplies. […] Doctissimo ne recueille pas non plus de consentement explicite dans le cas de données à caractère personnel d’une catégorie particulière », dénonce Privacy International, alors que cette notion de consentement est l’un des piliers du RGPD.

Ça ne s’arrête pas là : d’autres points sont remis en cause : sécurité du traitement des données personnelles, protection des données dès la conception du système d’information et protection des données par défaut, minimisation des données, transparence, loyauté, intégrité, confidentialité, finalité et licéité. Et pour enfoncer le clou, Doctissimo est aussi à côté des clous en matière de gestion des cookies.

La CNIL n’a pas réagi publiquement à ce dossier, qui pourrait avoir des conséquences sévères sur Doctissimo si les faits qui lui sont reprochés sont avérés : les données de santé, catégorie dans laquelle tombent les informations sur l’état mental et psychique, sont des données sensibles dans le cadre de la loi et doivent en principe bénéficier d’une attention plus particulière encore.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !